専用インスタンスのネットワーク要件

Webex Calling 専用インスタンスは Cisco Cloud 通話ポートフォリオの一部であり、Cisco Unified Communications Manager (CUCM) のコラボレーション テクノロジーを利用しています。 専用インスタンスでは、音声、ビデオ、メッセージング、モビリティのソリューションを、Cisco IP 電話、モバイル端末、専用インスタンスに安全に接続できるデスクトップ クライアントといった機能や利点と共に提供します。

この記事は、ネットワーク管理者、特に組織内で専用インスタンスを使用するファイアウォールとプロキシのセキュリティ管理者を対象にしています。 このドキュメントでは主に、専用インスタンスのソリューションのネットワーク要件とセキュリティについて説明します。これには、セキュアな物理アクセス、セキュアなネットワーク、セキュアなエンドポイント、セキュアな Cisco UC アプリケーションなどを提供する機能への階層的アプローチも含まれます。

セキュリティの概要: 階層的セキュリティ

専用インスタンスは、セキュリティを確保するために階層的なアプローチを使用します。 階層には次が含まれます。

  • 物理アクセス

  • ネットワーク

  • エンドポイント

  • UC アプリケーション

次のセクションでは、専用インスタンス展開におけるセキュリティの階層について説明します。

物理セキュリティ

Equinix Meet-Me Room のロケーションと Cisco 専用インスタンス データ センター施設に物理セキュリティを提供することが重要です。 物理セキュリティが侵害されると、顧客のスイッチの電源をシャットダウンすることでサービスを中断させるなどの単純な攻撃を開始することができます。 攻撃者は物理的なアクセスを使用して、サーバー デバイスにアクセスしたり、パスワードをリセットしたり、スイッチへのアクセスを取得したりする可能性があります。 また、物理的なアクセスにより、中間者攻撃などの高度な攻撃が促進されます。だからこそ 2 番目のセキュリティ層であるネットワーク セキュリティが重要です。

セルフ暗号化ドライブは、UC アプリケーションをホストする専用インスタンス データ センターで使用されます。

一般的なセキュリティ対策について詳しくは、次の場所にあるドキュメントを参照してください。 https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.

ネットワーク セキュリティ

パートナーは、すべてのネットワーク要素が (Equinix 経由で接続する) 専用インスタンス インフラストラクチャで保護されていることを確認する必要があります。 パートナーは、次のようなセキュリティのベスト プラクティスを確実に実行する責任を負います。

  • 音声とデータ向けの別々の VLAN

  • ポートごとに許可される MAC アドレスの数を制限して CAM テーブル フラッディングを阻止するため、ポート セキュリティを有効にする

  • スプーフィングされた IP アドレスに対する IP ソースのガード

  • ダイナミック ARP インスペクション (DAI) は (GARP スプーフィングに対して) アドレス解決プロトコル (ARP) と Gratuitous ARP (GARP) 違反について検証する

  • 802.1x 割り当てられた VLAN (電話は 802 をサポートする) 上のデバイスを認証するために、ネットワークアクセスを制限します1x。

  • 音声パケットの適切なマーキングを目的とした Quality of Service (QoS) の設定

  • 他のトラフィックをブロックするファイアウォール ポートの設定

エンドポイント セキュリティ

Cisco エンドポイントは、署名済みのファームウェア、セキュア ブート (選択モデル)、製造元がインストールした証明書 (MIC)、署名済みの構成ファイルなどのデフォルトのセキュリティ機能をサポートし、エンドポイントに特定のレベルのセキュリティを提供します。

また、パートナーや顧客は、次のような追加のセキュリティを有効にできます。

  • エクステンション モビリティなどのサービス向けに IP 電話サービスを暗号化する (HTTPS 経由)

  • Certificate Authority Proxy Function (CAPF) またはパブリック認証局 (CA) からローカルで有効な証明書 (Locally Significant Certificates、LSC) を発行する

  • 構成ファイルを暗号化する

  • メディアとシグナリングを暗号化する

  • 使用しない場合、これらの設定を無効にします: PC ポート、PC 音声 VLAN アクセス、Gratuitous ARP (GARP)、設定ボタン、SSH、コンソール

専用インスタンスにセキュリティ メカニズムを実装することで、電話と Unified CM サーバーの ID の盗難、データの改ざん、通話シグナリングまたはメディア ストリームの改ざんを防止します。

ネットワーク上の専用インスタンス:

  • 認証済みの通信ストリームを確立、維持する

  • ファイルを電話に転送する前にデジタル署名を行う

  • Cisco Unified IP Phone 間のメディア ストリームと通話シグナリングを暗号化する

デフォルトのセキュリティ セットアップ

デフォルトのセキュリティ機能により、Cisco Unified IP Phone には、次の自動セキュリティ機能が提供されます。

  • 電話構成ファイルの署名

  • 電話設定ファイル暗号化のサポート

  • Tomcat およびその他の Web サービス (MIDlets) との HTTPS

Unified CM Release 8.0 以降では、これらのセキュリティ機能はデフォルトで提供され、Certificate Trust List (CTL) クライアントは実行されません。

信頼検証サービス

ネットワーク内には多くの電話が存在し、IP 電話のメモリは限られているため、Cisco Unified CM は信頼検証サービス (TVS) を通してリモートの信頼ストアとして機能します。証明書信頼ストアを各電話に配置する必要はありません。 Cisco IP Phone は CTL または ITL ファイル経由で署名や証明書を検証できないため、TVS サーバーに連絡して検証を行います。 一元化された信頼ストアがあると、各 Cisco Unified IP Phone に信頼ストアを置くより管理が容易になります。

TVS を使用すると、Cisco Unified IP Phone では HTTPS 確立中に EM サービス、ディレクトリ、MIDlet などのアプリケーション サーバーを認証できるようになります。

初期信頼リスト

初期信頼リスト (ITL) ファイルは最初のセキュリティに使用され、エンドポイントが Cisco Unified CM を信頼できるようになります。 ITL では、セキュリティ機能を明示的に有効化する必要はありません。 クラスターがインストールされると自動的に ITL ファイルが作成されます。 Unified CM Trivial ファイル転送プロトコル (TFTP) サーバーのプライベート キーが ITL ファイルへの署名に使用されます。

Cisco Unified CM クラスターまたはサーバーが非セキュア モードの場合、ITL ファイルはサポートされている各 Cisco IP Phone にダウンロードされます。 パートナーは CLI コマンド「admin:show itl」を使用して ITL ファイルのコンテンツを表示できます。

Cisco IP Phone は、次のタスクを実行するために ITL ファイルを必要とします。

  • 構成ファイル暗号化のサポートの前提条件である CAPF と安全に通信する

  • 構成ファイルの署名を認証する

  • TVS を使用して HTTPS 確立中に EM サービス、ディレクトリ、MIDlet などのアプリケーション サーバーを認証する

Cisco CTL

デバイス、ファイル、シグナリング認証は、パートナーまたは顧客が Cisco Certificate Trust List Client をインストールして設定するときに作成される Certificate Trust List (CTL) ファイルに依存します。

CTL ファイルには次のサーバーまたはセキュリティ トークンのエントリが含まれています。

  • システム管理者セキュリティ トークン (SAST)

  • 同じサーバー上で実行している Cisco CallManager および Cisco TFTP サービス

  • Certificate Authority Proxy Function (CAPF)

  • TFTP サーバー

  • ASA ファイアウォール

CTL ファイルには、各サーバーのサーバー証明書、公開鍵、シリアル番号、署名、発行者名、サブジェクト名、サーバー機能、DNS 名、IP アドレスが含まれています。

CTL を使用した電話のセキュリティでは、次の機能が提供されます。

  • 署名キーを使用した TFTP ダウンロード ファイル (構成、ロケール、呼び出しリストなど) の認証

  • 署名キーを使用した TFTP 構成ファイルの暗号化

  • IP 電話用の暗号化通話シグナリング

  • IP 電話用の暗号化通話音声 (メディア)

専用インスタンスでの Cisco IP Phone のセキュリティ

専用インスタンスはエンドポイントの登録と通話処理を行います。 Cisco Unified CM とエンドポイント間のシグナリングは、Secure Skinny Client Control Protocol (SCCP) またはセッション開始プロトコル (SIP) に基づき、トランスポート レイヤー セキュリティ (TLS) を使用して暗号化できます。 エンドポイント間のメディアは、リアルタイム トランスポート プロトコル (RTP) に基づき、セキュア RTP (SRTP) を使用して暗号化されます。

Unified CM の混合モードを有効にすると、Cisco エンドポイント間のシグナリングおよびメディア トラフィックの暗号化が有効になります。

セキュアな UC アプリケーション

専用インスタンスでの混合モードの有効化

混合モードは、専用インスタンスでデフォルトでは有効になっていません。

専用インスタンスで混合モードを有効にすると、Cisco エンドポイント発着のシグナリングおよびメディア トラフィックの暗号化を実行する機能が有効になります。

Cisco Unified CM リリース 12.5(1) で、混合モードまたは CTL ではなく SIP OAuth に基づくシグナリングおよびメディアの暗号化を有効にする新しいオプションが、Jabber および Webex クライアントに追加されました。 したがって、Unified CM リリース 12.5(1)では、Jabber または Webex クライアントのシグナリングおよびメディアの暗号化を有効にするために SIP OAuth および SRTP を使用できます。 現時点で、Cisco IP Phone と他の Cisco エンドポイントでは、混合モードの有効化が引き続き必要です。 今後のリリースでは、7800/8800 エンドポイントで SIP OAuth のサポートを追加する計画があります。

ボイス メッセージのセキュリティ

Cisco Unity Connection は TLS ポートを通じて Unified CM に接続します。 デバイスのセキュリティ モードが非セキュアである場合、Cisco Unity Connection は SCCP ポートを通して Unified CM に接続します。

Unified CM ボイス メッセージング ポートのセキュリティ設定、および SCCP を実行している Cisco Unity デバイスまたは SCCP を実行している Cisco Unity Connection デバイスのセキュリティ設定のため、パートナーはポート用のセキュアなデバイス セキュリティ モードを選択できます。 認証済みのボイスメール ポートを選択すると、TLS 接続が開き、相互証明書の交換を使用してデバイスを認証します (各デバイスは他のデバイスの証明書を受け入れます)。 暗号化されたボイスメール ポートを選択すると、システムは最初にデバイスを認証し、デバイス間で暗号化されたボイス ストリームを送信します。

セキュリティ ボイス メッセージ ポートについて詳しくは、次を参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html

SRST、トランク、ゲートウェイ、CUBE/SBC のセキュリティ

Cisco Unified Survivable Remote Site Telephony (SRST) 対応ゲートウェイでは、専用インスタンス上の Cisco Unified CM が通話を完了できない場合、制限付きの通話処理タスクを提供します。

セキュアな SRST 対応ゲートウェイには、自己署名証明書が含まれています。 パートナーが Unified CM 管理で SRST 構成タスクを実行した後、Unified CM は TLS 接続を使用して、SRST 対応ゲートウェイで証明書プロバイダー サービスを使用して認証します。 Unified CM は SRST 対応ゲートウェイから証明書を取得し、Unified CM データベースに証明書を追加します。

パートナーが Unified CM 管理の依存デバイスをリセットした後、TFTP サーバーは SRST 対応ゲートウェイ証明書を電話の cnf.xml ファイルに追加し、ファイルを電話に送信します。 セキュアな電話は TLS 接続を使用して、SRST 対応ゲートウェイと通信します。

アウトバウンド PSTN 通話または Cisco Unified Border Element (CUBE) を通じたトラバーサル向けに、Cisco Unified CM からゲートウェイに発信された通話に対しては、セキュアなトランクを有することが推奨されます。

SIP トランクは、シグナリングおよびメディアの両方でセキュアな通話をサポートできます。TLS はシグナリング暗号化を提供し、SRTP はメディア暗号化を提供します。

Cisco Unified CM と CUBE 間の通信のセキュリティ保護

Cisco Unified CM と CUBE 間の通信を安全に行う場合、パートナーまたは顧客は、自己署名証明書あるいは CA 署名証明書のどちらかを使用する必要があります。

自己署名証明書の場合:

  1. CUBE および Cisco Unified CM が自己署名証明書を作成する

  2. CUBE は証明書を Cisco Unified CM にエクスポートする

  3. Cisco Unified CM は証明書を CUBE にエクスポートする

CA 署名入りの証明書の場合:

  1. クライアントがキーペアを作成し、Certificate Signing Request (CSR) を認証局 (CA) に送信する

  2. CA はプライベート キーを使用して署名し、ID 証明書を作成する

  3. クライアントは信頼できる CA ルートおよびメディア証明書と ID 証明書のリストをインストールする

リモート エンドポイントのセキュリティ

Mobile and Remote Access (MRA) エンドポイントでは、シグナリングとメディアは常に、MRA エンドポイントと Expressway ノード間で暗号化されます。 MRA エンドポイントで Interactive Connectivity Establishment (ICE) プロトコルが使用される場合、MRA エンドポイントのシグナリングとメディアの暗号化が必要になります。 ただし、Expressway-C と内部 Unified CM サーバー、内部エンドポイント、その他の内部デバイス間のシグナリングおよびメディアの暗号化には、混合モードまたは SIP OAuth が必要です。

Cisco Expressway は、Unified CM 登録のセキュアなファイアウォール トラバーサルと回線側のサポートを提供します。 Unified CM は、モバイルおよびオンプレミスのエンドポイントの両方に通話制御を提供します。 シグナリングはリモート エンドポイントと Unified CM 間の Expressway ソリューションを通過します。 メディアは Expressway ソリューションを通過し、エンドポイント間で直接リレーされます。 すべてのメディアは、Expressway-C とモバイル エンドポイント間で暗号化されます。

MRA との互換性のあるソフト クライアントまたは固定エンドポイントの場合、MRA ソリューションでは Expressway と Unified CM が必要です。 ソリューションには、任意で IM and Presence Service と Unity Connection が含まれる可能性があります。

プロトコルの概要

以下の表は、Unified CM ソリューションで使用されるプロトコルと関連サービスを示します。

表 1. プロトコルと関連サービス

プロトコル

セキュリティ

サービス

SIP

TLS

セッションの確立: 登録、招待など。

HTTPS

TLS

ログオン、プロビジョニングまたは構成、ディレクトリ、ビジュアル ボイスメール

メディア

SRTP

メディア: 音声、ビデオ、コンテンツ共有

XMPP

TLS

インスタント メッセージ、プレゼンス、フェデレーション

MRA 統合について詳しくは、次を参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html

構成オプション

専用インスタンスは、運用段階の設定を完全に管理することで、サービスのカスタマイズが可能な柔軟性をエンドユーザーに提供します。 その結果、パートナーはエンド ユーザーの環境において、専用インスタンス サービスの適切な設定に対するすべての責任を負います。 これには次が含まれますが、これらに限定されるものではありません。

  • セキュアまたは非セキュアな通話、SIP/sSIP、http/https などのセキュアまたは非セキュアなプロトコルを選択し、関連するリスクを理解すること。

  • 専用インスタンスでセキュア SIP として設定されていないすべての MAC アドレスにおいて、攻撃者がその MAC アドレスを使用して SIP Register メッセージを送信し、SIP コールを実行できる場合、結果として発生した通信料金詐欺。 さらに、攻撃者は専用インスタンスに登録されているデバイスの MAC アドレスが分かっている場合、許可なく SIP デバイスまたはソフトウェアを専用インスタンスに登録できる。

  • Expressway-E 通話ポリシー、変換、検索ルールは、通信料金詐欺を防ぐよう構成する必要がある。 Expressway を使用した通信料金詐欺の防止について詳しくは、「コラボレーション SRND」の「Expressway C および Expressway-E のセキュリティ」セクションを参照。

  • ダイヤル プランは、ユーザーが許可された宛先のみと通話するよう設定する (国内または国際ダイヤルを禁止する、緊急通話を正しくルーティングするなど)。ダイヤル プランの使用における制限適用について詳しくは、「コラボレーション SRND」の「ダイヤル プラン」セクションを参照。

専用インスタンスでのセキュアな接続の証明書の要件

専用インスタンスでは、Cisco はパブリック認証局 (CA) を使用してドメインを提供し、UC アプリケーションの証明書に署名します。

専用インスタンス - ポート番号とプロトコル

以下の表には、専用インスタンスでサポートされるポートとプロトコルが記載されています。 それぞれの顧客に使用されるポートは、顧客のデプロイとソリューションによって異なります。 プロトコルは、顧客の設定 (SCCP または SIP)、既存のオンプレミス デバイス、各デプロイで使用するポートを決定するセキュリティ レベルに依存します。

専用インスタンス - 顧客ポート

顧客が利用可能なポート (顧客のプレミスと専用インスタンス間) を表 1 の「専用インスタンスの顧客ポート」に示します。 以下にリストされているポートはすべて、ピアリング リンクを通過する顧客トラフィック用です。


SNMP ポートは CER 機能についてのみサポートされます。他のサード パーティの監視ツールについてはサポートされていません。


その他のクラウド統合のために、5063 ~ 5080 の範囲のポートは Cisco により予約されます。パートナーまたは顧客管理者は、これらのポートを構成で使用しなけときます。

表 2. 専用インスタンスの顧客ポート

プロトコル

TCP/UDP

ソース

移動先

ソースポート

移動先ポート

目的

SSH

TCP

クライアント

UC アプリケーション

1023 より上

22

管理

LDAP

TCP

UC アプリケーション

外部ディレクトリ

1023 より上

389

顧客 LDAP へのディレクトリ同期

HTTPS

TCP

ブラウザー

UC アプリケーション

1023 より上

443

セルフケアと管理インターフェイスのためのウェブ アクセス

LDAP (セキュア)

TCP

UC アプリケーション

外部ディレクトリ

1023 より上

636

顧客 LDAP へのディレクトリ同期

SCCP

TCP

エンドポイント

Unified CM、CUCxn

1023 より上

2000

コール シグナリング

SCCP

TCP

Unified CM

Unified CM、ゲートウェイ

1023 より上

2000

コール シグナリング

SCCP (セキュア)

TCP

エンドポイント

Unified CM、CUCxn

1023 より上

2443

コール シグナリング

SCCP (セキュア)

TCP

Unified CM

Unified CM、ゲートウェイ

1023 より上

2443

コール シグナリング

信頼検証

TCP

エンドポイント

Unified CM

1023 より上

2445

信頼検証サービスをエンドポイントに提供

CTI

TCP

エンドポイント

Unified CM

1023 より上

2748

CTI アプリケーション (JTAPI/TSP) と CTIManager 間の接続

セキュアな CTI

TCP

エンドポイント

Unified CM

1023 より上

2749

CTI アプリケーション (JTAPI/TSP) と CTIManager 間のセキュアな接続

LDAP グローバル カタログ

TCP

UC アプリケーション

外部ディレクトリ

1023 より上

3268

顧客 LDAP へのディレクトリ同期

LDAP グローバル カタログ

TCP

UC アプリケーション

外部ディレクトリ

1023 より上

3269

顧客 LDAP へのディレクトリ同期

CAPF サービス

TCP

エンドポイント

Unified CM

1023 より上

3804

ローカルで有効な証明書 (LSC) を IP 電話に発行する Certificate Authority Proxy Function (CAPF) のリスニング ポート

SIP

TCP

エンドポイント

Unified CM、CUCxn

1023 より上

5060

コール シグナリング

SIP

TCP

Unified CM

Unified CM、ゲートウェイ

1023 より上

5060

コール シグナリング

SIP (セキュア)

TCP

エンドポイント

Unified CM

1023 より上

5061

コール シグナリング

SIP (セキュア)

TCP

Unified CM

Unified CM、ゲートウェイ

1023 より上

5061

コール シグナリング

SIP (OAUTH)

TCP

エンドポイント

Unified CM

1023 より上

5090

コール シグナリング

XMPP

TCP

Jabber クライアント

Cisco IM&P

1023 より上

5222

インスタント メッセージとプレゼンス

HTTP

TCP

エンドポイント

Unified CM

1023 より上

6970

構成と画像をエンドポイントにダウンロードする

HTTPS

TCP

エンドポイント

Unified CM

1023 より上

6971

構成と画像をエンドポイントにダウンロードする

HTTPS

TCP

エンドポイント

Unified CM

1023 より上

6972

構成と画像をエンドポイントにダウンロードする

HTTP

TCP

Jabber クライアント

CUCxn

1023 より上

7080

ボイスメール通知

HTTPS

TCP

Jabber クライアント

CUCxn

1023 より上

7443

セキュアなボイスメール通知

HTTPS

TCP

Unified CM

Unified CM

1023 より上

7501

証明書ベースの認証用のクラスター間検索サービス (ILS) で使用される

HTTPS

TCP

Unified CM

Unified CM

1023 より上

7502

パスワード ベースの認証用の ILS で使用される

IMAP

TCP

Jabber クライアント

CUCxn

1023 より上

7993

IMAP over TLS

HTTPS

TCP

ブラウザー、エンドポイント

UC アプリケーション

1023 より上

8443

セルフケアと管理インターフェイス、UDS のためのウェブ アクセス

HTTPS

TCP

プレミス

Unified CM

1023 より上

9443

認証済みの連絡先検索

セキュアな RTP/SRTP

UDP

Unified CM

電話

16384~32767 *

16384~32767 *

メディア (音声) - 保留時の音楽、アナンシエーター、ソフトウェア会議ブリッジ (コール シグナリングに基づき開く)

セキュアな RTP/SRTP

UDP

電話

Unified CM

16384~32767 *

16384~32767 *

メディア (音声) - 保留時の音楽、アナンシエーター、ソフトウェア会議ブリッジ (コール シグナリングに基づき開く)

ICMP

ICMP

エンドポイント

UC アプリケーション

該当なし

該当なし

Ping

ICMP

ICMP

UC アプリケーション

エンドポイント

該当なし

該当なし

Ping

* 一部の特殊なケースでは、さらに広い範囲が使用される場合があります。

専用インスタンス - OTT ポート

以下のポートは、顧客とパートナーがモバイルおよびリモート アクセス (MRA) セット アップ用に使用できます。

表 3. OTT 用ポートのリスト

プロトコル

TCP/UDP

ソース

移動先

ソースポート

移動先ポート

目的

セキュアな SIP

TCP

エンドポイント

Expressway-E

1023 より上

5061

MRA 登録と通話のためのセキュアな SIP シグナリング

セキュアな SIP

TCP

エンドポイント/サーバー

Expressway-E

1023 より上

5062

B2B 通話用のセキュアな SIP

セキュアな RTP/RTCP

UDP

エンドポイント/サーバー

Expressway-E

1023 より上

36000-59999

MRA および B2B 通話用のセキュアなメディア

HTTPS (セキュア)

TLS

クライアント

Expressway-E

1023 より上

8443

MRA 通話用の CUCM UDS および CUCxn REST

XMLS

TLS

クライアント

Expressway-E

1023 より上

5222

IM & プレゼンス

TURN

UDP

ICA クライアント

Expressway-E

1023 より上

3478

ICE/STUN/TURN ネゴシエーション

セキュアな RTP/RTCP

UPD

ICA クライアント

Expressway-E

1023 より上

24000 ~ 29999

ICE フォールバック用の TURN メディア

専用インスタンス - UCCX ポート

以下のポートは、顧客とパートナーが UCCX を構成するために使用できます。

表 4. Cisco UCCX ポート

プロトコル

TCP/UDP

ソース

移動先

ソースポート

移動先ポート

目的

SSH

TCP

クライアント

UCCX

1023 より上

22

SFTP と SSH

Informix

TCP

クライアントまたはサーバー

UCCX

1023 より上

1504

Unified CCX データベース ポート

SIP

UDP および TCP

SIP GW または MCRP サーバー

UCCX

1023 より上

5065

リモート GW および MCRP ノードへの通信

XMPP

TCP

クライアント

UCCX

1023 より上

5223

Finesse サーバーとカスタム サード パーティ アプリケーション間のセキュアな XMPP 接続

CVD

TCP

クライアント

UCCX

1023 より上

6999

CCX アプリケーション用エディター

HTTPS

TCP

クライアント

UCCX

1023 より上

7443

Finesse サーバーとエージェントおよびスーパーバイザーのデスクトップ間の、HTTPS 経由通信用のセキュアな BOSH 接続

HTTP

TCP

クライアント

UCCX

1023 より上

8080

Socket.IO サーバーへのライブデータ レポート クライアント接続

HTTP

TCP

クライアント

UCCX

1023 より上

8081

Cisco Unified Intelligence Center ウェブ インターフェイスへのアクセスを試みるクライアント ブラウザー

HTTP

TCP

クライアント

UCCX

1023 より上

8443

SOAP 経由の Admin GUI、RTMT、DB アクセス

HTTPS

TCP

クライアント

UCCX

1023 より上

8444

Cisco Unified Intelligence Center ウェブ インターフェイス

HTTPS

TCP

ブラウザーおよび REST クライアント

UCCX

1023 より上

8445

Finesse のセキュアなポート

HTTPS

TCP

クライアント

UCCX

1023 より上

8447

HTTPS - Unified Intelligence Center オンライン ヘルプ

HTTPS

TCP

クライアント

UCCX

1023 より上

8553

シングル サインオン (SSO) コンポーネントは、このインターフェイスにアクセスして Cisco IdS のオペレーティング ステータスを確認します。

HTTP

TCP

クライアント

UCCX

1023 より上

9080

HTTP トリガーまたはドキュメント/プロンプト/文法/ライブ データへのアクセスを試みるクライアント。

HTTPS

TCP

クライアント

UCCX

1023 より上

9443

HTTPS トリガーへのアクセスを試みるクライアントに応答するために使用されるセキュアなポート

TCP

TCP

クライアント

UCCX

1023 より上

12014

ライブデータ レポート クライアントがSocket.IO サーバーに接続できるポート

TCP

TCP

クライアント

UCCX

1023 より上

12015

ライブデータ レポート クライアントがSocket.IO サーバーに接続できるポート

CTI

TCP

クライアント

UCCX

1023 より上

12028

CCX へのサードパーティ CTI クライアント

RTP (メディア)

TCP

エンドポイント

UCCX

1023 より上

1023 より上

メディア ポートは、必要に応じて動的に開きます

RTP (メディア)

TCP

クライアント

エンドポイント

1023 より上

1023 より上

メディア ポートは、必要に応じて動的に開きます

クライアントのセキュリティ

SIP OAuth で Jabber および Webex を保護する

Jabber および Webex クライアントは、ローカルで有効な証明書 (LSC) ではなく Oauth トークンを使って認証されます。この認証は Certificate Authority Proxy Function (CAPF) の有効化 (MRA 用も含む) を必要としません。 混合モードを使用する、または使用しない SIP Oauth が、Cisco Unified CM 12.5(1)、Jabber 12.5、Expressway X12.5 に導入されました。

Cisco Unified CM 12.5 では、SIP REGISTER の単一の Transport Layer Security (TLS) + OAuth トークンを使用して LSC/CAPF なしの暗号化を有効にする、電話セキュリティ プロファイルの新しいオプションが加わります。 Expressway-C ノードは Administrative XML Web Service (AXL) API を使用して、証明書の SN/SAN について Cisco Unified CM に通知します。 Cisco Unified CM は相互 TLS 接続を確立する際に、この情報を使用して Expressway-C 証明書を検証します。

SIP OAuth は、エンドポイント証明書 (LSC) なしで、メディアとシグナリングの暗号化を有効にします。

Cisco Jabber は、TFTP サーバーへの HTTPS 接続経由でエフェメラル ポートとセキュア ポート 6971 および 6972 を使用し、構成ファイルをダウンロードします。 ポート 6970 は、HTTP 経由のダウンロード用の非セキュアなポートです。

SIP Oauth 構成に関する詳細: SIP Oauth モード

DNS 要件

専用インスタンスについては、各地域のサービス用の FQDN が Cisco から提供されます。フォーマットは「<customer>.<region>.wxc-di.webex.com」で、たとえば「 xyz.amer.wxc-di.webex.com」のようになります。

「顧客」の値は、管理者から提供される初回セットアップ ウィザード (FTSW) の中で提供されています。 詳細については、「専用インスタンス サービスのアクティベーション」を参照してください。

この FQDN の DNS レコードは、専用インスタンスに接続されているオンプレミス デバイスをサポートするため、顧客の内部 DNS サーバーから解決できる必要があります。 解決を容易にするため、顧客は、専用インスタンス DNS サービスに接続された自社の DNS サーバーに、この FQDN 用に条件付きフォワーダーを設定する必要があります。 専用インスタンス DNS サービスは地域ごとのサービスで、専用インスタンスへのピアリング接続を使い到達できます。その際は、以下の表「専用インスタンス DNS サービス用 IP アドレス」に記載された IP アドレスを使用します。

表 5 専用インスタンス DNS サービス用 IP アドレス

地域/DC

専用インスタンス DNS サービス用 IP アドレス

条件付きフォワードの例

アメリカ

<customer>.amer.wxc-di.webex.com

サンノゼ (SJC)

69.168.17.100

ダラス (DFW)

69.168.17.228

欧州、中東、アフリカ

<customer>.emea.wxc-di.webex.com

ロンドン (LON)

178.215.138.100

アムステルダム (AMS)

178.215.138.228

APJC (アジア太平洋地域)

<customer>.apjc.wxc-di.webex.com

東京 (TOK)

103.232.71.100

SIN

103.232.71.228

オーストラリア (AUS)

<customer>.aus.wxc-di.webex.com

メルボルン (MEL)

178.215.128.100

シドニー (SYD)

178.215.128.228


セキュリティ上の理由から、上記の DNS サーバー IP アドレスに対する ping オプションが無効になります。

条件付きフォワードが設定されるまで、デバイスは顧客の内部ネットワークからピアリング リンク経由で専用インスタンスに登録できません。 モバイルおよびリモート アクセス (MRA) 経由の登録については、条件付きフォワードは必要ありません。MRA の円滑化に必要な外部 DNS レコードは Cisco によって事前にプロビジョニングされます。

Webex アプリケーションを専用インスタンスの通話ソフト クライアントとして使用する場合、各地域の音声サービス ドメイン (VSD) 用の UC マネージャー プロファイル を Control Hub で構成する必要があります。 詳細については、「Cisco Webex Control Hub の UC マネージャーのプロファイル」を参照してください。 Webex アプリケーションは、エンドユーザーの介入無しに、自動的に顧客の Expressway Edge を解決できます。


サービスのアクティベーションが完了すると、パートナー アクセス ドキュメントの一部として音声サービス ドメインが顧客に提供されます。